了解特殊權限存取管理

Microsoft Purview Privileged Access Management 可讓您更精細地控制 Office 365 中具有特殊許可權的系統管理員工作。 可以協助防止他人使用對敏感性資料或關鍵組態設定具有常設存取權的現有特殊權限管理帳戶入侵您的組織。 特殊權限存取管理需要使用者要求即時存取,透過範圍與時間高度受到限制的核准工作流程,完成提升權限和授與特殊權限的工作。 此設定可授與使用者僅足夠執行手邊工作的存取權,而不會冒暴露敏感性資料或關鍵組態設定的風險。 啟用特殊許可權存取管理可讓您的組織以零常設許可權運作,並針對常設的系統管理存取弱點提供一層防禦。

如需整合式客戶加密箱和特殊許可權存取管理工作流程的快速概觀,請參閱此 客戶加密箱和特殊許可權存取管理影片

提示

如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

保護層

Privileged Access Management 可補充 Microsoft 365 安全性架構內的其他資料和存取功能保護。 將 Privileged Access Management 納入整合式和分層式安全性方法的一部分,所提供的安全性模型可將敏感性資訊和 Microsoft 365 組態設定的保護最大化。 如下圖所示,Privileged Access Management 是以 Microsoft 365 資料的原生加密和 Microsoft 365 服務的角色型存取控制安全性模型所提供的保護為基礎。 與 Microsoft Entra Privileged Identity Management 搭配使用時,這兩個功能提供不同範圍的 Just-In-Time 存取訪問控制。

Microsoft 365 中的分層保護。

特殊許可權存取管理是在工作層級定義和設定範圍,而 Microsoft Entra Privileged Identity Management 在角色層級套用保護,且能夠執行多個工作。 Microsoft Entra Privileged Identity Management 主要允許管理 AD 角色和角色群組的存取權,而 Microsoft Purview Privileged Access Management 僅適用於工作層級。

  • 在已使用 Microsoft Entra Privileged Identity Management 時啟用特殊許可權存取管理:新增特殊許可權存取管理可為 Microsoft 365 數據的特殊許可權存取提供另一層細微的保護和稽核功能。

  • 在已使用 Microsoft Purview Privileged Access Management 時啟用 Microsoft Entra Privileged Identity Management:新增 Microsoft Entra Privileged Identity ManagementMicrosoft Purview Privileged Access Management 可以將特殊許可權存取延伸至主要由使用者角色或身分識別所定義的 Microsoft 365 外部數據。

特殊許可權存取管理架構和程式流程

下列每個程式流程都會概述特殊許可權存取的架構,以及它如何與 Microsoft 365 基底、稽核和 Exchange 管理 Runspace 互動。

步驟 1:設定特殊權限存取原則

當您使用 Microsoft 365 系統管理中心 或 Exchange Management PowerShell 來設定特殊許可權存取原則時,您可以在 Microsoft 365 基底中定義原則和特殊許可權存取功能程式和原則屬性。 活動會記錄在稽核記錄中。 現在已啟用此原則,並準備就緒可處理傳入的核准要求。

步驟 1:建立原則。

步驟 2:存取要求

Microsoft 365 系統管理中心 或 Exchange 管理 PowerShell 中,使用者可以要求存取提升許可權或特殊許可權的工作。 特殊許可權存取功能會將要求傳送至 Microsoft 365 基底,以針對設定的許可權存取原則進行處理,並將活動記錄在稽核記錄中。

步驟 2:存取要求。

步驟 3:存取核准

產生核准要求,並將擱置的要求通知以電子郵件寄送給核准者。 如果核准,即會以核准形式處理特殊權限存取要求,且工作即會準備就緒可完成。 如果拒絕,即會封鎖該工作,且不會將存取權授與要求者。 要求者會透過電子郵件訊息收到要求核准或拒絕的通知。

步驟 3:存取核准。

步驟 4:存取處理

對於核准的要求,該工作會由 Exchange 管理 Runspace 處理。 會對照特殊權限存取原則檢查該核准,並且由 Microsoft 365 基底處理。 工作的所有活動都會記錄在稽核記錄中。

步驟 4:存取處理。

常見問題集

哪些 SKU 可以在 Office 365 中使用特殊許可權存取?

特殊許可權存取管理適用於各種 Microsoft 365 和 Office 365 訂用帳戶和附加元件的客戶。 如需詳細資訊,請參閱 開始使用特殊許可權存取管理

特殊許可權存取何時會支援exchange以外的 Office 365 工作負載?

其他 Office 365 工作負載很快就會提供特殊許可權存取管理。 如需詳細資訊,請流覽 Microsoft 365 藍圖

我的組織需要超過 30 個特殊許可權存取原則,此限制是否會增加?

是,每個組織目前提高 30 個特殊許可權存取原則的限制是在功能藍圖上。

我需要是全域 管理員,才能在 Office 365 中管理特殊許可權存取嗎?

是,您需要將全域 管理員 角色指派給管理 Office 365 中特殊許可權存取的帳戶。 包含在核准者群組中的使用者不需要指派全域 管理員角色管理角色,即可使用PowerShell來檢閱和核准要求。 用戶必須獲指派 Exchange 系統管理員角色,才能在 Microsoft 365 系統管理中心 中要求、檢閱及核准特殊許可權存取要求。

當 Microsoft 存取資料時,客戶加密箱允許組織訪問控制層級。 特殊許可權存取管理可讓組織內針對所有 Microsoft 365 特殊許可權工作進行細微的訪問控制。

準備好開始使用了嗎?

開始 設定您的組織進行特殊許可權存取管理

深入了解

互動式指南:使用特殊許可權存取管理來監視和控制系統管理員工作